Partager via

Tutoriel : Intégration de l'authentification unique (SSO) Microsoft Entra avec SignalFx

  • Article

Dans ce tutoriel, vous allez découvrir comment intégrer SignalFx à Microsoft Entra ID. Lorsque vous intégrez SignalFx à Microsoft Entra ID, vous pouvez :

  • Contrôle depuis Microsoft Entra ID qui a accès à SignalFx.
  • Permettez à vos utilisateurs d'être automatiquement connectés à SignalFx avec leurs comptes Microsoft Entra.
  • Gérer vos comptes à un seul et même endroit (le portail Azure).

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

  • Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
  • Abonnement SignalFx pour lequel l’authentification unique (SSO) est activée.

Description du scénario

Dans ce tutoriel, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.

  • SignalFx prend en charge l’authentification unique lancée par le fournisseur d’identité.
  • SignalFx prend en charge le provisionnement d’utilisateurs juste-à-temps.

Étape 1 : Ajouter l’application SignalFx dans Azure

Suivez ces instructions pour ajouter l’application SignalFx à votre liste d’applications SaaS managées.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie, tapez SignalFx dans la zone de recherche.
  4. Sélectionnez SignalFx dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.
  5. Laissez le centre d’administration Microsoft Entra ouvert, puis ouvrez un nouvel onglet de navigateur.

Étape 2 : Commencer la configuration de l’authentification unique SignalFx

Suivez ces instructions pour commencer le processus de configuration de l’authentification unique SignalFx.

  1. Dans l’onglet que vous venez d’ouvrir, accédez à l’interface utilisateur SignalFx pour vous y connecter.
  2. Dans le menu du haut, cliquez sur Integrations.
  3. Dans le champ de recherche, saisissez et sélectionnez Microsoft Entra ID.
  4. Cliquez sur Create New Integration (Créer une intégration).
  5. Dans Name (Nom), entrez un nom facilement reconnaissable pour vos utilisateurs.
  6. Activez Show on Login Page (Afficher dans la page de connexion).
    • Cette fonctionnalité affiche un bouton personnalisé dans la page de connexion sur lequel vos utilisateurs peuvent cliquer.
    • Les informations que vous avez entrées dans Name s’affichent sur le bouton. Vous devez donc entrer un nom que vos utilisateurs pourront facilement reconnaître.
    • Cette option ne fonctionne que si vous utilisez un sous-domaine personnalisé pour l’application SignalFx, par exemple nom_de_votre_entreprise.signalfx.com. Pour obtenir un sous-domaine personnalisé, contactez le support SignalFx.
  7. Copiez l’ID d’intégration. vous aurez besoin de ces informations dans une étape ultérieure.
  8. Ne fermez pas l’interface utilisateur SignalFx.

Étape 3 : Configurer Microsoft Entra SSO

Utilisez ces instructions pour activer Microsoft Entra SSO.

  1. Retournez dans le centre d’administration Microsoft Entra, dans la page d’intégration de l’application SignalFx, recherchez la section Gérer, puis sélectionnez Authentification unique.

  2. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  3. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de crayon de Configuration SAML de base afin de modifier les paramètres.

    Edit Basic SAML Configuration

  4. Dans la page Configurer l’authentification unique avec SAML, effectuez les étapes suivantes :

    a. Dans Identificateur, entrez l’URL https://api.<realm>.signalfx.com/v1/saml/metadata et remplacez <realm> par votre domaine SignalFx. (à l’exception du domaine US0, l’URL devrait être https://api.signalfx.com/v1/saml/metadata).

    b. Dans URL de réponse, entrez l’URL https://api.<realm>.signalfx.com/v1/saml/acs/<integration ID> et remplacez <realm> par votre domaine SignalFx. Ensuite, remplacez <integration ID> par l’ID d’intégration que vous avez copié précédemment à partir de l’interface utilisateur SignalFx. (à l’exception de US0, l’URL devrait être https://api.signalfx.com/v1/saml/acs/<integration ID>)

  5. L’application SignalFx attend les assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à votre configuration d’attributs de jeton SAML.

  6. Vérifiez que les revendications suivantes correspondent aux attributs sources qui figurent dans Active Directory.

    Nom Attribut source
    User.FirstName user.givenname
    User.email user.mail
    PersonImmutableID user.userprincipalname
    User.LastName user.surname

    Notes

    Ce processus nécessite qu’Active Directory soit configuré avec au moins un domaine personnalisé vérifié, ainsi qu’avec un accès aux comptes de messagerie de ce domaine. Si vous avez des doutes ou si vous avez besoin d’aide pour cette configuration, contactez le support SignalFx.

  7. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez Certificat (en base64) , puis sélectionnez Télécharger. Téléchargez le certificat et enregistrez-le sur votre ordinateur. Copiez ensuite la valeur de l’URL des métadonnées de fédération d’application, car vous en aurez besoin pour une prochaine étape dans l’interface utilisateur SignalFx.

    The Certificate download link

  8. Dans la section Configurer SignalFx, copiez la valeur Microsoft Entra Identifier. Vous aurez besoin de ces informations pour une prochaine étape dans l’interface utilisateur SignalFx.

Étape 4 : Créer un utilisateur test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
  4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
    1. Dans le champ Nom d’affichage, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
    4. Sélectionnez Revoir + créer.
  5. Sélectionnez Create (Créer).

Étape 5 : Attribuez l’utilisateur de test Microsoft Entra

Dans cette section, vous allez permettre à B.Simon d’utiliser l’authentification unique en lui accordant l’accès à SignalFx.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>SignalFx.
  3. Dans la page de présentation de l’application, sélectionnez Utilisateurs et groupes.
  4. Sélectionnez Ajouter un utilisateur/groupe, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
    1. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
    2. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
    3. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Étape 6 : Terminer la configuration de l’authentification unique SignalFx

  1. Ouvrez l'onglet précédent et revenez à l'interface utilisateur de SignalFx pour afficher la page d'intégration Microsoft Entra actuelle.
  2. En regard de Certificate (Base64) (Certificat en base64), cliquez sur Upload File (Charger le fichier), puis recherchez le fichier Base64 encoded certificate (Certificat encodé en base 64) que vous avez téléchargé précédemment.
  3. À côté de Microsoft Entra Identifier, collez la valeur Microsoft Entra Identifier que vous avez copiée précédemment.
  4. En regard de Federation Metadata URL (URL des métadonnées de fédération), collez la valeur du champ URL des métadonnées de fédération d’application que vous avez copiée précédemment.
  5. Cliquez sur Enregistrer.

Étape 7 : Tester l’authentification unique (SSO)

Lisez les informations suivantes pour savoir comment tester l’authentification unique, et pour connaître les exigences relatives à une première connexion à SignalFx.

Tester les connexions

  • Pour tester la connexion, vous devez utiliser une fenêtre privée/incognito, ou vous pouvez vous déconnecter. Si ce n’est pas le cas, les cookies de l’utilisateur qui a configuré l’application interfèrent et empêchent une connexion réussie avec l’utilisateur de test.

  • Lorsqu’un utilisateur de test se connecte pour la première fois, Azure force la modification du mot de passe. Dans ce cas, le processus de connexion SSO n’est pas finalisé et l’utilisateur de test est dirigé vers le portail Azure. Pour résoudre ce problème, l’utilisateur de test doit modifier son mot de passe, accéder à la page de connexion de SignalFx ou à Mes applications, puis réessayer.

    • Un clic sur la vignette SignalFx dans Mes applications doit vous connecter automatiquement à SignalFx.

  • L’application SignalFx est accessible à partir de Mes applications ou via une page de connexion personnalisée attribuée à l’organisation. L’utilisateur test doit tester l’intégration à partir de l’un ou l’autre de ces emplacements.

    • L’utilisateur de test peut utiliser les informations d’identification créées précédemment dans ce processus pour b.simon@contoso.com.

Premières connexions

  • Lorsqu’un utilisateur se connecte pour la première fois à SignalFx à partir de l’authentification unique SAML, il reçoit un e-mail de SignalFx dans lequel se trouve un lien. L’utilisateur doit cliquer sur le lien pour s’authentifier. Cette validation par e-mail n’est à effectuer que lors de la première connexion.

  • SignalFx prend en charge la création d’utilisateur juste-à-temps, ce qui signifie que si un utilisateur n’existe pas dans SignalFx, le compte de cet utilisateur sera créé lors de sa première tentative de connexion.

Étapes suivantes

Une fois que vous avez configuré SignalFx, vous pouvez appliquer le contrôle de session, qui protège l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.